Default
Door Remote - 20 Apr 2026
De Kelp DAO en LayerZero bridge-exploit die zich afgelopen weekend heeft voorgedaan, heeft ertoe geleid dat het kredietprotocol Aave met potentiële verliezen van maximaal $ 230 miljoen te kampen heeft gehad, afhankelijk van hoe de situatie wordt opgelost.
Volgens een rapport van Aave Labs en dienstverlener LlamaRisk, gepubliceerd op het Aave-governanceforum, concentreert het incident zich op rsETH, een token voor het terugnemen van vloeistoffen uitgegeven door KelpDAO. Om rsETH tussen blockchains te verplaatsen, vertrouwt het protocol op een brugmechanisme dat tokens op de ene keten vergrendelt terwijl overeenkomstige kopieën op een andere worden uitgegeven.
Een aanvaller maakte misbruik van deze opzet door een overdrachtsbericht te vervalsen dat geldig leek. Het systeem keurde de overdracht goed, ook al werden de tokens nooit uit de verzendketen gehaald, wat betekent dat er effectief nieuwe tokens werden gecreëerd zonder steun, waardoor 116.500 rsETH vrijkwam van de Ethereum-side bridge.
In plaats van de activa op de open markt te verkopen, deponeerde de aanvaller 89.567 rsETH in Aave als onderpand en leende hij ongeveer $190 miljoen aan ETH en gerelateerde activa via Ethereum en Arbitrum, aldus het rapport. Hierdoor was Aave blootgesteld aan onderpand waarvan de dekking aanzienlijk zou kunnen worden aangetast.
Aave Labs zei dat het snel handelde om het risico te beperken. Binnen enkele uren bevroor het protocol de rsETH-markten voor al zijn implementaties, zette het de lening-waardeverhoudingen op nul en stopte het nieuwe leningen voor het actief.
De uitkomst hangt nu grotendeels af van hoe Kelp met het tekort omgaat. Als de verliezen over alle rsETH-houders worden gespreid, zou het token te maken krijgen met een depegging van naar schatting 15% (wat betekent dat de waarde van de ingezette tokens niet overeenkomt met de waarde van de daadwerkelijke ETH), wat zou resulteren in ongeveer $124 miljoen aan dubieuze debiteuren voor Aave. Als de verliezen in plaats daarvan zouden worden beperkt tot Laag 2-netwerken, zou de impact veel ernstiger zijn, waarbij de dubieuze debiteuren zouden oplopen tot ongeveer $230 miljoen en zich zouden concentreren op netwerken als Arbitrum en Mantle.
De exploit kwam voort uit zwakke punten in de manier waarop Kelp cross-chain berichten verifieerde met behulp van LayerZero. Door dit proces te manipuleren kon de aanvaller ervoor zorgen dat bepaalde assets volledig ondersteund leken terwijl dat niet het geval was, waardoor ze waarde uit het systeem konden halen. LayerZero zelf werd niet direct gehackt, maar de berichtenlaag bracht gebrekkige aannames aan het licht over de manier waarop Kelp cross-chain data valideerde.
Het incident leidde tot bezorgdheid dat sommige posities op Aave werden gedekt door onderpand dat verkeerd geprijsd was of niet langer volledig gedekt was, waardoor het risico op leningen met onderpand groter werd.
Als reactie hierop hebben gebruikers actie ondernomen om de blootstelling te verminderen. Na het incident werd ongeveer $ 6 miljard aan totale waarde van Aave onttrokken, wat een brede terugtrekking weerspiegelde toen deelnemers reageerden op de onzekerheid.
De aflevering benadrukte de indirecte blootstelling aan externe systemen. De impact werd gevoeld door een groter onderpandrisico, druk op kredietposities en een scherpe daling van de deposito's toen gebruikers de veiligheid van onderling verbonden DeFi-infrastructuur opnieuw evalueerden.
Het rapport stelt dat de DAO-schatkist ongeveer $181 miljoen aan activa bevat en dat er gesprekken gaande zijn met ecosysteemdeelnemers om potentiële verliezen aan te pakken. Kelp heeft nog niet uiteengezet hoe het de verliezen wil verdelen, waardoor de uiteindelijke blootstelling van Aave onzeker blijft naarmate de situatie zich blijft ontwikkelen.
Lees meer: Kelp DAO beweert dat de ‘standaard’ instellingen van LayerZero de oorzaak zijn van de enorme ramp van $ 290 miljoen
Volgens een rapport van Aave Labs en dienstverlener LlamaRisk, gepubliceerd op het Aave-governanceforum, concentreert het incident zich op rsETH, een token voor het terugnemen van vloeistoffen uitgegeven door KelpDAO. Om rsETH tussen blockchains te verplaatsen, vertrouwt het protocol op een brugmechanisme dat tokens op de ene keten vergrendelt terwijl overeenkomstige kopieën op een andere worden uitgegeven.
Een aanvaller maakte misbruik van deze opzet door een overdrachtsbericht te vervalsen dat geldig leek. Het systeem keurde de overdracht goed, ook al werden de tokens nooit uit de verzendketen gehaald, wat betekent dat er effectief nieuwe tokens werden gecreëerd zonder steun, waardoor 116.500 rsETH vrijkwam van de Ethereum-side bridge.
In plaats van de activa op de open markt te verkopen, deponeerde de aanvaller 89.567 rsETH in Aave als onderpand en leende hij ongeveer $190 miljoen aan ETH en gerelateerde activa via Ethereum en Arbitrum, aldus het rapport. Hierdoor was Aave blootgesteld aan onderpand waarvan de dekking aanzienlijk zou kunnen worden aangetast.
Aave Labs zei dat het snel handelde om het risico te beperken. Binnen enkele uren bevroor het protocol de rsETH-markten voor al zijn implementaties, zette het de lening-waardeverhoudingen op nul en stopte het nieuwe leningen voor het actief.
De uitkomst hangt nu grotendeels af van hoe Kelp met het tekort omgaat. Als de verliezen over alle rsETH-houders worden gespreid, zou het token te maken krijgen met een depegging van naar schatting 15% (wat betekent dat de waarde van de ingezette tokens niet overeenkomt met de waarde van de daadwerkelijke ETH), wat zou resulteren in ongeveer $124 miljoen aan dubieuze debiteuren voor Aave. Als de verliezen in plaats daarvan zouden worden beperkt tot Laag 2-netwerken, zou de impact veel ernstiger zijn, waarbij de dubieuze debiteuren zouden oplopen tot ongeveer $230 miljoen en zich zouden concentreren op netwerken als Arbitrum en Mantle.
De exploit kwam voort uit zwakke punten in de manier waarop Kelp cross-chain berichten verifieerde met behulp van LayerZero. Door dit proces te manipuleren kon de aanvaller ervoor zorgen dat bepaalde assets volledig ondersteund leken terwijl dat niet het geval was, waardoor ze waarde uit het systeem konden halen. LayerZero zelf werd niet direct gehackt, maar de berichtenlaag bracht gebrekkige aannames aan het licht over de manier waarop Kelp cross-chain data valideerde.
Het incident leidde tot bezorgdheid dat sommige posities op Aave werden gedekt door onderpand dat verkeerd geprijsd was of niet langer volledig gedekt was, waardoor het risico op leningen met onderpand groter werd.
Als reactie hierop hebben gebruikers actie ondernomen om de blootstelling te verminderen. Na het incident werd ongeveer $ 6 miljard aan totale waarde van Aave onttrokken, wat een brede terugtrekking weerspiegelde toen deelnemers reageerden op de onzekerheid.
De aflevering benadrukte de indirecte blootstelling aan externe systemen. De impact werd gevoeld door een groter onderpandrisico, druk op kredietposities en een scherpe daling van de deposito's toen gebruikers de veiligheid van onderling verbonden DeFi-infrastructuur opnieuw evalueerden.
Het rapport stelt dat de DAO-schatkist ongeveer $181 miljoen aan activa bevat en dat er gesprekken gaande zijn met ecosysteemdeelnemers om potentiële verliezen aan te pakken. Kelp heeft nog niet uiteengezet hoe het de verliezen wil verdelen, waardoor de uiteindelijke blootstelling van Aave onzeker blijft naarmate de situatie zich blijft ontwikkelen.
Lees meer: Kelp DAO beweert dat de ‘standaard’ instellingen van LayerZero de oorzaak zijn van de enorme ramp van $ 290 miljoen